Megosztás a következőn keresztül:

Open Service Mesh- (OSM-) bővítmény az Azure Kubernetes Service-ben (AKS-ben)

  • Cikk

Az Open Service Mesh (OSM) egy egyszerű, bővíthető, natív felhőbeli szolgáltatásháló, amely lehetővé teszi a rendkívül dinamikus mikroszolgáltatási környezetek egységes felügyeletét, védelmét és beépített megfigyelhetőségi funkcióinak használatát.

Az OSM egy Envoy-alapú vezérlősíkot futtat a Kubernetesen, és SMI API-kkal konfigurálható. Az OSM úgy működik, hogy egy envoy proxyt injektál oldalkocsi-tárolóként az alkalmazás minden egyes példányával. Az megbízott proxy szabályokat tartalmaz és hajt végre a hozzáférés-vezérlési szabályzatok körül, implementálja az útválasztási konfigurációt, és rögzíti a metrikákat. A vezérlősík folyamatosan konfigurálja a megbízott proxykat, hogy a szabályzatok és az útválasztási szabályok naprakészek legyenek, és a proxyk kifogástalan állapotban legyenek.

A Microsoft elindította az OSM-projektet, de most már a Cloud Native Computing Foundation (CNCF) szabályozza.

Feljegyzés

Az Open Service Mesh (OSM) a Cloud Native Computing Foundation (CNCF) általi kivonásával javasoljuk, hogy azonosítsa az OSM-konfigurációkat, és migrálja őket egy egyenértékű Istio-konfigurációba. Az OSM-ről Az Istio-ba való migrálásról további információt az Open Service Mesh (OSM) konfigurációinak Áttelepítési útmutatója az Istio-ba című témakörben talál.

Az OSM-bővítmény engedélyezése

Az OSM hozzáadható az Azure Kubernetes Service(AKS) fürthöz az OSM-bővítmény Azure CLI vagy Bicep-sablon használatával történő engedélyezésével. Az OSM bővítmény az AKS-sel integrált OSM teljes körűen támogatott telepítését biztosítja.

Fontos

A fürt kubernetes-verziójától függően az OSM bővítmény az OSM egy másik verzióját telepíti.

Kubernetes-verzió Telepített OSM-verzió
1.24.0 vagy újabb 1.2.5
1.23.5 és 1.24.0 között 1.1.3
1.23.5 alatt 1.0.0

Előfordulhat, hogy az OSM régebbi verziói nem telepíthetők vagy aktívan támogatottak, ha a megfelelő AKS-verzió elérte az élettartamát. Az AKS Kubernetes kiadási naptárában tájékozódhat az AKS-verzió támogatási ablakáról.

Képességek és funkciók

Az OSM a következő képességeket és funkciókat biztosítja:

  • A kölcsönös TLS (mTLS) engedélyezésével biztonságossá teheti a szolgáltatásközi kommunikációt.
  • Alkalmazások előkészítése az OSM-hálóra az Envoy proxy automatikus oldalkocsi-injektálásának használatával.
  • Transzparens módon konfigurálja a forgalom áthelyezését az üzemelő példányokon.
  • Részletes hozzáférés-vezérlési szabályzatok definiálása és végrehajtása a szolgáltatásokhoz.
  • Szolgáltatások monitorozása és hibakeresése az alkalmazásmetrikák megfigyelhetőségének és elemzéseinek használatával.
  • A fürtben üzembe helyezett szolgáltatásvégpontok közötti kommunikáció titkosítása.
  • Engedélyezze a HTTP-/HTTPS- és TCP-forgalom forgalomengedélyezési funkcióját.
  • Súlyozott forgalomvezérlők konfigurálása két vagy több szolgáltatás között az A/B teszteléshez vagy a kanári üzemelő példányokhoz.
  • KPI-k gyűjtése és megtekintése az alkalmazásforgalomból.
  • Integrálás külső tanúsítványkezeléssel.
  • Integrálható a meglévő bejövő megoldásokkal, például az NGINX-szel, a Kontúrral és az Alkalmazás-útválasztással.

További információ a bejövő forgalomról és az OSM-ről: Bejövő forgalom használata a fürt szolgáltatásaihoz való külső hozzáférés kezelése és az OSM integrálása a Contour használatával a bejövő forgalomhoz. Az OSM és a networking.k8s.io/v1 bejövőforgalom-vezérlők API-val való integrálására vonatkozó példa: Bejövő forgalom a Kubernetes Nginx bejövőforgalom-vezérlővel. Az OSM-sel automatikusan integrálható Alkalmazás-útválasztás használatával kapcsolatos további információkért tekintse meg az Alkalmazás útválasztása című témakört.

Korlátozások

Az OMS AKS-bővítményre az alábbi korlátozások vonatkoznak:

  • A telepítés után engedélyeznie kell az Iptables átirányítást a port IP-címéhez és a porttartomány kizárásához a következő használatával kubectl patch: . További információ: az iptables átirányítása.
  • Az IMDS-hez, Azure DNS-hez vagy a Kubernetes API-kiszolgálóhoz hozzáférést igénylő podok IP-címét hozzá kell adni a kizárt kimenő IP-címtartományok globális listájához a Globális kimenő IP-címtartomány-kizárások használatával.
  • A bővítmény nem működik olyan AKS-fürtökön, amelyek Istio-alapú service mesh-bővítményt használnak az AKS-hez.
  • Az OSM nem támogatja a Windows Server-tárolókat.

Következő lépések

Miután engedélyezte az OSM-bővítményt az Azure CLI vagy egy Bicep-sablon használatával, a következőt teheti: